SkyOD驅(qū)動(dòng)反反調(diào)試插件

SkyOD驅(qū)動(dòng)反反調(diào)試插件，一個(gè)驅(qū)動(dòng)級(jí)的反調(diào)試插件程序，專(zhuān)注CPU，偽裝，調(diào)試，生成操作，可以根據(jù)需求進(jìn)行進(jìn)程管理操作。本次帶來(lái)SkyOD反反調(diào)試插件程序工具，DLL文件，安裝方便，菜單全部為中文，需要進(jìn)行相關(guān)配置反調(diào)試操作的朋友們可以下載使用。

插件功能

隱藏PEB(R3)

peb.BeingDebugged & peb64.BeingDebugged

peb.NtGlobalFlag & peb64.NtGlobalFlag

peb.processHeap.HeapFlags & peb64.processHeap.HeapFlags

peb.processHeap.ForceFlags & peb64.processHeap.ForceFlags

隱藏進(jìn)程

現(xiàn)象：隱藏調(diào)試器進(jìn)程，在任務(wù)管理器里面枚舉不到進(jìn)程

場(chǎng)合：枚舉進(jìn)程，然后對(duì)這個(gè)進(jìn)程進(jìn)行一大堆檢測(cè)

注釋?zhuān)弘[藏進(jìn)程和偽裝進(jìn)程二者開(kāi)一即可

保護(hù)進(jìn)程

現(xiàn)象：保護(hù)調(diào)試器進(jìn)程，允許OB權(quán)限過(guò)濾，

場(chǎng)合：通過(guò)查詢(xún)調(diào)試器特征信息來(lái)反調(diào)試就可以使用這個(gè)功能 (比如搜索調(diào)試器特征碼、線程調(diào)試句柄等等)

偽裝調(diào)試器

現(xiàn)象：偽裝調(diào)試器進(jìn)程的(路徑、名稱(chēng)、父進(jìn)程ID)偽裝成explorer進(jìn)程

場(chǎng)合：通過(guò)枚舉進(jìn)程當(dāng)前目錄下的文件來(lái)檢測(cè)是否有調(diào)試器運(yùn)行

注釋?zhuān)弘[藏進(jìn)程和偽裝進(jìn)程二者開(kāi)一即可

偽裝父進(jìn)程

現(xiàn)象：被調(diào)試進(jìn)程的父進(jìn)程ID，改為explorer.exe，如果沒(méi)有此進(jìn)程則改成4(內(nèi)核進(jìn)程)  

場(chǎng)合：通過(guò)判斷自身進(jìn)程的父進(jìn)程ID是否為explorer.exe，是否是其他進(jìn)程創(chuàng)建的來(lái)反調(diào)試

隱藏句柄表

注釋?zhuān)悍乐雇ㄟ^(guò)枚舉句柄查詢(xún)或者其他操作進(jìn)行反調(diào)試

保護(hù)調(diào)試寄存器

NtQueryInformationThread

ThreadWow64Context(獲取Wow64線程環(huán)境)

NtSetInformationThread

ThreadWow64Context(設(shè)置Wow64線程環(huán)境)

NtGetContextThread(獲取64線程環(huán)境)

NtSetContextThread(設(shè)置64線程環(huán)境)

現(xiàn)象：只要是非調(diào)試器進(jìn)程向被調(diào)試的進(jìn)程發(fā)起修改獲取調(diào)試寄存器的操作一律被偽裝(偷天換日)

場(chǎng)合：當(dāng)下不了硬件斷點(diǎn)，硬件斷點(diǎn)莫名其妙被清除的時(shí)候就可以使用

反反調(diào)試

NtSetInformationThread

ThreadHideFromDebugger(隱藏調(diào)試端口，脫離調(diào)試器)

NtClose

檢測(cè)是否錯(cuò)誤句柄，防止關(guān)閉錯(cuò)誤句柄觸發(fā)異常

檢測(cè)是否保護(hù)句柄，防止關(guān)閉保護(hù)句柄觸發(fā)異常

NtDuplicateObject

防止拷貝句柄時(shí)觸發(fā)保護(hù)句柄異常

NtSystemDebugControl

除了SysDbgGetTriageDump(查詢(xún)內(nèi)核調(diào)試器)

NtQueryInformationProcess

ProcessDebugFlags(調(diào)試標(biāo)志)

ProcessDebugPort(調(diào)試端口)

ProcessDebugObjectHandle(調(diào)試對(duì)象)

NtQuerySystemInformation

SystemKernelDebuggerInformation(是否開(kāi)啟內(nèi)核調(diào)試)

NtQueryObject

ObjectTypeInformation(指定對(duì)象-DebugObject)

ObjectTypesInformation(所有對(duì)象-DebugObject)

注釋?zhuān)悍捶凑{(diào)試是針對(duì)于系統(tǒng)全局，除了調(diào)試器，其他進(jìn)程沒(méi)有辦法獲取被調(diào)試進(jìn)程的真實(shí)狀態(tài)

使用說(shuō)明

顯示驅(qū)動(dòng)回顯

注釋?zhuān)猴@示驅(qū)動(dòng)攔截動(dòng)作信息

過(guò)數(shù)字簽名校驗(yàn)

場(chǎng)合：插件驅(qū)動(dòng)不帶簽名，請(qǐng)勾選此功能

注釋?zhuān)簾o(wú)需數(shù)字簽名即可加載驅(qū)動(dòng)程序，會(huì)被PG檢測(cè)

過(guò)虛擬機(jī)檢測(cè)

注釋?zhuān)壕徑庖恍�檢測(cè)虛擬機(jī)方法

過(guò)PatchGuard

場(chǎng)合：開(kāi)啟隱藏進(jìn)程、反反調(diào)試等一些功能

注釋?zhuān)哼^(guò)系統(tǒng)PatchGuard校驗(yàn)，非百分百，藍(lán)屏也是正常的0.0

A：插件沒(méi)有辦法正確加載怎么辦？

B：插件使用了DX界面，請(qǐng)?jiān)诰W(wǎng)上下載修復(fù)工具修復(fù)DX組件

A：插件里面的字體顯示有問(wèn)題怎么辦？

B：請(qǐng)安裝“微軟雅黑”字體文件，msyh.ttc

A：程序檢測(cè)虛擬機(jī)怎么辦

B：務(wù)必把虛擬機(jī)自帶的VmTool工具關(guān)閉，可以通過(guò)配置虛擬機(jī)vmx文件實(shí)現(xiàn)